Tausende WordPress-Seiten mit Schadcode infiziert

Der Code führt Nutzer zu Seiten mit betrügerischem Technik-Support. Als Einfallstor dienen offenbar veraltete Plug-ins und Themes. Die Hacker verwenden zudem einen kürzlich entdeckten Fehler in Google Chrome, um Nutzer auf den betrügerischen Seiten zu halten.

In den vergangenen Wochen wurden Tausende Websites, die das Content-Management-System WordPress nutzen, offenbar gehackt und mit Schadcode kompromittiert. Darauf weisen Forscher der Sicherheitsfirmen Sucuri und Malwarebytes hin. Als Einfallstor nutzen die Cyberkriminellen aber wohl keine Sicherheitslücken in WordPress, sondern in veralteten WordPress-Themes und –Plug-ins.

Malware (Bild: Shutterstock)Den Forschern zufolge folgen die Angriffe jedoch einem ähnlichen Muster. In den meisten Fällen wird der schädliche Code von einer bekannten Quelle heruntergeladen. Haben die Hacker einen Zugang zu einer WordPress-Seite, installieren sie eine Hintertür für künftige Zugriffe und um den Code der Seite zu verändern.

Sehr häufig modifizieren die unbekannten Täter PHP- oder JavaScript-Dateien, um den Schadcode herunterzuladen. Nach Angaben von einigen Betroffenen wurden aber auch Datenbank-Tabellen manipuliert.

Der schädliche Code filtert laut Jérôme Segura, Sicherheitsforscher bei Malwarebytes, Nutzer heraus, die die kompromittierte Seite besuchen, um sie auch Seiten umzuleiten, die betrügerischen Technik-Support anbieten. Die Traffic-Muster der Umleitungen sollen zudem an die Muster eines gut bekannten Traffic-Systems erinnern, das schon bei früheren Malware-Kampagnen zum Einsatz kam.

Bei einigen der Betrugsseiten kommt Segura zufolge der erst kürzlich entdeckte Evil-Cursor-Bug zum Einsatz. Er führt dazu, dass Nutzer die betrügerische Seite nicht mehr mit einem Mausklick schließen können.

Sucuri will die aktuelle WordPress-Kampagne erstmals Anfang September entdeckt haben. Segura betonte indes, dass die Zahl der Angriffe in den letzten Tagen zugenommen habe.

Eine Google-Suche nach Teilen des schädlichen JavaScript-Codes sollte wahrscheinlich nur einen Bruchteil der insgesamt gehackten Seiten offenbaren. Laut ZDNet.com meldet Google derzeit mehr als 2500 Ergebnisse. Dazu gehört auch eine Website der Expedia Group, dem Anbieter des Reiseportals Expedia.

In der vorletzten Woche hatte ZDNet.com berichtet, dass die Veröffentlichung einer Zero-Day-Lücke in einem beliebten WordPress-Plug-in zu einer Zunahme von Scans nach diesem Plug-in geführt hatte. Ob ein Zusammenhang zu den Angriffen auf WordPress-Websites besteht, konnte Sucuri nicht bestätigen.

ANZEIGE

Die Cloud in kleinen Contact Centern: die Stunde der Wahrheit

Für viele Unternehmen ist noch immer unklar, welche Vorteile ein cloudbasiertes Contact Center bietet. Dieses E-Book von Genesys löst die Mythen rund um Cloud Contact Center auf.

Themenseiten: Hacker, Security, Sicherheit, WordPress

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Tausende WordPress-Seiten mit Schadcode infiziert

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *